OneDrive a Rischio! Qualsiasi App Web Potrebbe Accedere a tutti i tuoi file

I ricercatori hanno lanciato l’allarme: il servizio cloud OneDrive potrebbe consentire ad applicazioni web di terze parti di accedere a tutti i file di un utente. Secondo Oasis Security, la vulnerabilità è legata al funzionamento di OneDrive File Picker e consente ai siti di accedere all’intero spazio di archiviazione dell’utente e non solo ai file selezionati per il download tramite questo strumento.

“Ciò è dovuto agli ambiti eccessivamente ampi di OAuth e alle finestre di dialogo fuorvianti che non forniscono all’utente un’idea chiara dell’ambito di accesso concesso. La vulnerabilità potrebbe avere gravi conseguenze, tra cui la fuga di dati dei clienti e la violazione dei requisiti normativi”, spiegano i ricercatori.

L’azienda stima che il problema riguardi diverse app, tra cui ChatGPT, Slack, Trello, Zoom e ClickUp, data la loro integrazione con il servizio cloud di Microsoft. La radice del problema risiede nelle autorizzazioni eccessive richieste da OneDrive File Picker, che richiede l’accesso in lettura all’intero archivio, anche quando viene caricato un solo file. Ciò è dovuto alla mancanza di impostazioni OAuth dettagliate per OneDrive.

Christmas Sale -40% 𝗖𝗵𝗿𝗶𝘀𝘁𝗺𝗮𝘀 𝗦𝗮𝗹𝗲! Sconto del 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮 del Corso "Dark Web & Cyber Threat Intelligence" in modalità E-Learning sulla nostra Academy!🚀 Fino al 𝟯𝟭 𝗱𝗶 𝗗𝗶𝗰𝗲𝗺𝗯𝗿𝗲, prezzi pazzi alla Red Hot Cyber Academy. 𝗧𝘂𝘁𝘁𝗶 𝗶 𝗰𝗼𝗿𝘀𝗶 𝘀𝗰𝗼𝗻𝘁𝗮𝘁𝗶 𝗱𝗲𝗹 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮. Per beneficiare della promo sconto Christmas Sale, scrivici ad [email protected] o contattaci su Whatsapp al numero di telefono: 379 163 8765. Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

“In poche parole, qualsiasi app web che utilizzi OneDrive File Picker ha accesso non solo al file selezionato per il caricamento/scaricamento, ma all’intero OneDrive. Quel che è peggio, questo accesso può persistere anche dopo il completamento del download del file”, spiegano i ricercatori.

La situazione è aggravata dal fatto che la richiesta di consenso che gli utenti ricevono prima di scaricare un file è formulata in modo molto vago e la persona potrebbe non comprendere appieno quali diritti sta concedendo.

“La mancanza di impostazioni di autorizzazione dettagliate impedisce agli utenti di distinguere tra app dannose che prendono di mira tutti i file e quelle legittime che richiedono autorizzazioni eccessive semplicemente perché non ci sono altre opzioni sicure”, scrive Oasis.

Allo stesso tempo, gli esperti aggiungono che i token OAuth vengono spesso archiviati in modo non sicuro e salvati nelle sessioni del browser in formato testo normale.

Un altro potenziale problema è che il processo di autorizzazione potrebbe anche emettere un token di aggiornamento, che consente all’applicazione di continuare ad accedere ai dati dell’utente. Ciò consente a un’applicazione di ottenere nuovi token di accesso senza richiedere all’utente di effettuare nuovamente l’accesso dopo la scadenza del token corrente.

Dopo la pubblicazione del rapporto Oasis Security, i rappresentanti di Microsoft hanno riconosciuto l’esistenza del problema, ma non è stata ancora trovata alcuna soluzione. Gli sviluppatori Microsoft hanno fatto notare che questo problema non è immediatamente risolvibile, poiché l’utente deve comunque fornire il proprio consenso prima che venga consentito l’accesso.

Si consiglia agli utenti di valutare la disattivazione temporanea della funzionalità di caricamento file tramite OneDrive e OAuth finché non verrà trovata un’alternativa sicura. I ricercatori consigliano inoltre di evitare l’uso di token di aggiornamento e di conservare i token di accesso in un luogo sicuro, per poi eliminarli quando non sono più necessari.

Ti è piaciutno questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Redazione

La redazione di Red Hot Cyber è composta da professionisti del settore IT e della sicurezza informatica, affiancati da una rete di fonti qualificate che operano anche in forma riservata. Il team lavora quotidianamente nell’analisi, verifica e pubblicazione di notizie, approfondimenti e segnalazioni su cybersecurity, tecnologia e minacce digitali, con particolare attenzione all’accuratezza delle informazioni e alla tutela delle fonti. Le informazioni pubblicate derivano da attività di ricerca diretta, esperienza sul campo e contributi provenienti da contesti operativi nazionali e internazionali.